Vụ hack KelpDAO 293 triệu USD và bài học về rủi ro phức hợp trong DeFi

Tôi theo dõi mảng DeFi từ năm 2019, và có một điều tôi rút ra được là: từ "đổi mới" thường chỉ là cách nói lịch sự cho việc "chúng tôi vừa thêm một lớp rủi ro mà chẳng ai thực sự hiểu hết". Vụ hack 293 triệu USD của KelpDAO gần đây không đơn thuần là một vụ exploit khác trong danh sách dài dằng dặc. Đây là ví dụ điển hình về rủi ro phức hợp trong DeFi, cho thấy ngành này đang chạm tới một bức tường nơi các phép toán trở nên quá rắc rối để có thể quản lý an toàn. Trước đó, tôi đã viết về rủi ro ví DeFi để các bạn có thêm góc nhìn.

Chuyện gì đã thực sự xảy ra với KelpDAO

Với những ai không quá rành về mảng liquid restaking, KelpDAO được thiết kế để người dùng vừa giữ được tính thanh khoản, vừa nhận thưởng từ tài sản staked. Ngặt nỗi, liquid restaking không hề đơn giản. Nó bao gồm nhiều lớp hợp đồng thông minh, các giao thức bên thứ ba và những vòng lặp tài sản thế chấp chồng chéo.

Trong vụ này, kẻ tấn công không chỉ tìm thấy một lỗi nhỏ trong một dòng code. Chúng khai thác cách các thành phần khác nhau của giao thức tương tác với nhau. Bằng cách thao túng trạng thái hệ thống, chúng đã rút sạch gần 300 triệu USD. Đây không phải kiểu tấn công "flash loan" truyền thống, mà là sự thất bại của hệ thống khi đối mặt với một chuỗi sự kiện phức tạp.

Rủi ro phức hợp trong DeFi là gì và tại sao nó lại nguy hiểm

Khi tôi nói về rủi ro phức hợp, tôi đang nói về vấn đề "mảnh ghép Lego". Hồi đầu, một giao thức chỉ làm một việc. Uniswap để swap token, Aave để cho vay. Đơn giản. Nhưng giờ đây, chúng ta có những giao thức nằm trên các giao thức khác, rồi lại được bọc trong một token khác, sau đó lại đem gửi vào một bộ tối ưu hóa lợi nhuận (yield optimizer).

Cứ mỗi lớp mới là một điểm yếu mới. Ngay cả khi từng đoạn code riêng lẻ đều được "kiểm toán" và "an toàn", thì cách chúng tương tác với nhau lại tạo ra những lỗ hổng mới. Nó giống như việc xây một tòa nhà chọc trời mà mỗi chiếc bu lông đều chắc chắn, nhưng thiết kế tổng thể lại quá lỏng lẻo đến mức chỉ cần một cơn gió nhẹ thổi đúng hướng là cả tòa nhà sập đổ.

Tôi đã thấy mô típ này trước đây. Tôi từng phân tích về vụ hack Drift Protocol, nơi rủi ro không chỉ nằm ở code mà còn ở yếu tố con người và khóa quản trị. KelpDAO thì khác, vì rủi ro nằm ngay trong logic cốt lõi của sản phẩm.

Ngành DeFi đang sai ở đâu

Vấn đề lớn nhất là hầu hết người dùng (và cả một số lập trình viên) coi kiểm toán (audit) như một "con dấu đảm bảo". Họ thấy một file PDF từ một công ty bảo mật uy tín và mặc định tiền của mình là an toàn. Nhưng kiểm toán chỉ là một lát cắt tại một thời điểm. Nó không tính đến việc giao thức sẽ phản ứng ra sao khi tương tác với năm giao thức khác trong một thị trường biến động mạnh.

Thú thật, tôi phát ngán với tư duy "làm nhanh, sai nhiều" khi mà "thứ bị sai" ở đây chính là tiền mồ hôi xương máu của mọi người. Dữ liệu thị trường hiện tại cho thấy tâm lý Trung lập với chỉ số Fear & Greed là 43, và BTC dominance ở mức 60,25%. Nhiều người đang trú ẩn trong BTC vì họ nhận ra rằng "lợi nhuận cao" trong DeFi thường đi kèm với cái giá là rủi ro hệ thống cực lớn.

Cách tự bảo vệ mình trước những sụp đổ hệ thống

Nếu bạn đã chán cảnh nhìn 300 triệu USD bốc hơi trong vài block, bạn cần thay đổi cách giữ tài sản. Tôi không thể nói giao thức nào là "an toàn" vì trong một hệ thống phức tạp, an toàn chỉ là ảo giác. Điều tôi có thể khuyên là: đừng bao giờ để tài sản chính trong một giao thức mà bạn không thực sự hiểu cách nó vận hành.

Với những tài sản định nắm giữ dài hạn, hãy đưa chúng ra khỏi chuỗi (off-chain) và cho vào ví lạnh. Cá nhân tôi thích Ledger Flex vì màn hình cảm ứng E Ink giúp hạn chế việc vô tình ký vào một giao dịch độc hại. Giá 249 USD là một khoản phí nhỏ so với việc mất trắng vì một lỗi phức hợp nào đó.

Góc nhìn cuối cùng của tôi

DeFi cuối cùng cũng đến lúc phải "trưởng thành". Thời kỳ chồng chéo mười giao thức khác nhau để săn tìm mức APY 20% đang dần kết thúc vì rủi ro đã quá rõ ràng. Tôi nghĩ chúng ta sẽ thấy một sự chuyển dịch sang "DeFi nhàm chán". Những giao thức đơn giản, minh bạch và đã qua thử thách thực tế sẽ thắng thế trước những thứ hào nhoáng nhưng phức tạp.

Cho đến lúc đó, hãy cứ coi bất kỳ giao thức nào hứa hẹn lợi nhuận "tối ưu" hay "đa tầng" thực chất là một cuộc thí nghiệm khổng lồ với tiền của bạn. Nếu bạn không thể vẽ sơ đồ dòng tiền ra một tờ giấy ăn trong 30 giây, thì có lẽ nó quá phức tạp để được coi là an toàn.

Giao dịch theo tin tức tại sàn giao dịch do ban biên tập lựa chọn: MEXC